QU’EST-CE QU’UN TEST D’INTRUSION ? POURQUOI ET QUAND LE RÉALISER ?
- Un test d’intrusion est essentiel afin d’assurer la sécurité d’un système. Plusieurs types de tests d’intrusion existent et ont pour but d’évaluer la sécurité d’un système spécifique : application web, système IoT, application mobile, système d’information interne d’une entreprise…
- Un test d’intrusion est à la fois une intention défensive (mieux se protéger) et une action offensive (agresser son propre système d’information). Nous recommandons de les réaliser pour tester l’efficacité des actions correctives mises en oeuvre.
DES SUBVENTIONS EXISTENT !
Une prise en charge à 100% des tests d’intrusion est proposée pour les entreprises de la région Auvergne Rhône Alpes : cliquez ici pour plus d’informations.
Vérifiez régulièrement l’existence de subventions dans votre région pour ce type de prestation !
A la recherche d’un partenaire capable de tester votre système. Vous pouvez contacter les équipes d’Apside ou contacter l’Operating Team Siparex à diagnosticcyber@siparex.com.
LE FONCTIONNEMENT D’UN PENTEST AVEC L’EXEMPLE D’UNE APPLICATION WEB
Chaque test d’intrusion dispose d’outils et méthodologies spécifiques. Afin de mieux comprendre la méthodologie et approche développées par Apside, voici un exemple concret portant sur une application web.
- La première phase d'un test d'intrusion web est une évaluation d’infrastructure afin de déterminer la légitimité des services exposés sur le serveur hébergeant l’application ainsi que leurs potentielles vulnérabilités.
- Dans un second temps, un test d'intrusion externe en mode anonyme (boite noire) permet de vérifier l’implémentation des protections sécurité sur le périmètre. Le but de ce mode opératoire est de déterminer ce qu’un attaquant anonyme peut effectuer sur l’application, sans connaissances au préalable sur le périmètre. Aucun accès authentifié n’est utilisé durant cette phase.
- Ensuite un test d’intrusion en mode authentifié (boite grise) permet de simuler une attaque d’un attaquant ayant déjà accès à l’application. Etant authentifié, cela peut élargir la surface d’attaque en fonction des fonctionnalités offertes par l’application.
- Collecte d’information : Informations techniques ou sensibles accessible publiquement sur internet
- Configuration et déploiement : Vérification des versions et en-têtes de sécurité
- Gestion des identités : Enumération utilisateur
- Autorisation : Vérification du cloisonnement entre les différents comptes avec niveaux de privilèges
- Authentification : Vérification de la politique de mot de passe, verrouillage de comptes, protections contre les attaques par force brute…
- Gestion des sessions : Vérification des attributs du cookie de session, expiration de sessions, Déconnexion
- Validation des entrées utilisateurs : Vérification du système de filtrage d’entrées utilisateurs
- Gestion des erreurs : Vérification des informations divulguées dans les messages d’erreurs
- Cryptographie : Vérification de la couche de chiffrement des flux
- Processus métier : Vérification des mécanismes de protections contre le téléversement de fichiers malveillants
- Coté client : Vérification des données stockées dans le navigateur
- Enfin, l’accès au code source de l’application (boite blanche), peut permettre d’identifier des vulnérabilités, plus difficilement décelable sans accès au code source.
Lors de cette phase, la méthodologie OWASP est utilisé et comporte 11 catégories de tests à effectuer afin d’être exhaustif sur tous les potentielles vecteurs initiaux d’attaque :
QUEL LIVRABLE SUITE À LA DÉMARCHE ?
Chaque test d’intrusion aboutit à un livrable comportant :
- Une synthèse managériale afin qu’une personne non technique puisse comprendre les failles découvertes lors de l’audit, ainsi que les bons points remontés par les auditeurs.
- Une synthèse technique remontant les vulnérabilités identifiées
- Une synthèse des vulnérabilités et recommandations associés afin de mitiger les vulnérabilités
- Le détail de l’exploitation des failles identifiées lors de l’audit